Come funziona il writeback della reimpostazione della password self-service in Microsoft Entra ID?

Microsoft Entra self-service password reset (SSPR) consente agli utenti di reimpostare le password nel cloud, ma la maggior parte delle aziende dispone anche di un ambiente Active Directory locale Domain Services (AD DS) per gli utenti. Il writeback delle password consente di eseguire il writeback delle modifiche delle password nel cloud in una directory locale in tempo reale usando Microsoft Entra Connessione o Microsoft Entra Connessione sincronizzazione cloud. Quando gli utenti modificano o reimpostano le password usando la reimpostazione della password self-service nel cloud, le password aggiornate vengono scritte anche nell'ambiente di Active Directory Domain Services locale.

Importante

Questo articolo concettuale illustra a un amministratore il funzionamento del writeback della reimpostazione della password self-service. Se si è un utente finale già registrato per la reimpostazione della password self-service e si deve ripristinare l'accesso al proprio account, passare a https://aka.ms/sspr.

Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.

Il writeback delle password è supportato in ambienti che usano i seguenti modelli di identità ibridi:

• Sincronizzazione degli hash delle password
• Autenticazione pass-through
• Active Directory Federation Services

Il writeback delle password offre le funzionalità seguenti:

• Imposizione dei criteri password di Active Directory locale Domain Services (AD DS): quando un utente reimposta la password, viene controllato per assicurarsi che soddisfi i criteri di Active Directory Domain Services locali prima di eseguirne il commit in tale directory. Questo esame include il controllo di cronologia, complessità, validità, filtri delle password e altre restrizioni per le password definite in AD DS.
• Nessun ritardo nei feedback: il writeback delle password è un'operazione sincrona. Gli utenti vengono informati immediatamente se la password non soddisfa i criteri o non può essere reimpostata o modificata per qualsiasi motivo.
• Supporta le modifiche delle password dal pannello di accesso e Da Microsoft 365: quando gli utenti federati o con sincronizzazione dell'hash delle password cambiano le password scadute o non scadute, tali password vengono riscritto in Active Directory Domain Services.
• Supporta il writeback delle password quando un amministratore li reimposta dall'interfaccia di amministrazione di Microsoft Entra: quando un amministratore reimposta la password di un utente nell'interfaccia di amministrazione di Microsoft Entra, se l'utente è federato o sincronizzato l'hash delle password, la password viene riscritta in locale. Questa funzionalità non è attualmente supportata nel portale di amministrazione di Office.
• Non richiede regole del firewall in ingresso: il writeback delle password usa un bus di servizio di Azure inoltro come canale di comunicazione sottostante. Tutte le comunicazioni sono in uscita sulla porta 443.
• Supporta la distribuzione side-by-side a livello di dominio usando Microsoft Entra Connessione o la sincronizzazione cloud per impostare diversi set di utenti in base alle proprie esigenze, inclusi gli utenti che si trovano in domini disconnessi.

Nota

L'account del servizio locale che gestisce le richieste di writeback delle password non può modificare le password per gli utenti che appartengono a gruppi protetti. Amministrazione istrator possono modificare la password nel cloud, ma non possono usare il writeback delle password per reimpostare una password dimenticata per l'utente locale. Per altre informazioni sui gruppi protetti, vedere Account e gruppi protetti in Active Directory Domain Services.

Per iniziare a usare il writeback della reimpostazione della password self-service, completare una o entrambe le esercitazioni seguenti:

• Esercitazione: Abilitare il writeback della reimpostazione della password self-service
• Esercitazione: Abilitare il writeback della reimpostazione della password self-service di Microsoft Entra Connessione cloud in un ambiente locale (anteprima)

Distribuzione side-by-side di Microsoft Entra Connessione e cloud

È possibile distribuire Microsoft Entra Connessione e la sincronizzazione cloud side-by-side in domini diversi per definire diversi set di utenti. Ciò consente agli utenti esistenti di continuare a eseguire il writeback delle modifiche delle password durante l'aggiunta dell'opzione nei casi in cui gli utenti si trovano in domini disconnessi a causa di una fusione o divisione aziendale. Microsoft Entra Connessione e la sincronizzazione cloud possono essere configurati in domini diversi, in modo che gli utenti di un dominio possano usare Microsoft Entra Connessione mentre gli utenti di un altro dominio usano la sincronizzazione cloud. La sincronizzazione cloud può anche offrire una disponibilità più elevata perché non si basa su una singola istanza di Microsoft Entra Connessione. Per un confronto delle funzionalità tra le due opzioni di distribuzione, vedere Confronto tra Microsoft Entra Connect e Sincronizzazione cloud.

Funzionamento del writeback delle password

Quando un account utente configurato per la federazione, la sincronizzazione dell'hash delle password (o, nel caso di una distribuzione di Microsoft Entra Connessione, l'autenticazione pass-through) tenta di reimpostare o modificare una password nel cloud, vengono eseguite le azioni seguenti:

1. Viene verificato il tipo di password usato dall'utente. Se la password è gestita in locale:

   • Si verifica che il servizio di writeback sia attivo e in esecuzione. In questo caso viene consentito all'utente di continuare.
   • Se il servizio di writeback non è attivo, l'utente viene informato che la password non può essere reimpostata al momento.

2. L'utente supera quindi i controlli di autenticazione appropriati e raggiunge la pagina Reimposta password.

3. L'utente seleziona una nuova password e la conferma.

4. Quando l'utente seleziona Invia, la password di testo non crittografato viene crittografata con una chiave pubblica creata durante il processo di installazione del writeback.

5. La password crittografata viene inclusa in un payload inviato tramite un canale HTTPS al servizio Inoltro del bus di servizio specifico del tenant, che viene configurato automaticamente durante il processo di installazione della funzionalità di writeback. L'inoltro è protetto da una password generata casualmente, nota solo all'installazione locale.

6. Dopo che il messaggio ha raggiunto il bus di servizio, l'endpoint di reimpostazione della password si attiva automaticamente e rileva la richiesta di reimpostazione in sospeso.

7. Il servizio cerca quindi l'utente usando l'attributo di ancoraggio cloud. Affinché questa ricerca abbia esito positivo devono essere soddisfatte le condizioni seguenti:

   • L'oggetto utente deve esistere nello spazio connettore di Active Directory Domain Services.
   • L'oggetto utente deve essere collegato all'oggetto metaverse (MV) corrispondente.
   • L'oggetto utente deve essere collegato all'oggetto connettore Microsoft Entra corrispondente.
   • Il collegamento dall'oggetto connettore di Active Directory Domain Services alla MV deve avere la regola Microsoft.InfromADUserAccountEnabled.xxx di sincronizzazione nel collegamento.

   Quando la chiamata proviene dal cloud, il motore di sincronizzazione usa l'attributo cloudAnchor per cercare l'oggetto spazio connettore Microsoft Entra. Segue quindi il collegamento all'oggetto MV e quindi segue il collegamento all'oggetto Active Directory Domain Services. Poiché possono essere presenti più oggetti di Active Directory Domain Services (più foreste) per lo stesso utente, il motore di sincronizzazione si basa sul Microsoft.InfromADUserAccountEnabled.xxx collegamento per selezionarne uno corretto.

8. Dopo aver trovato l'account utente, viene effettuato un tentativo di reimpostare la password direttamente nella foresta di Active Directory Domain Services appropriata.

9. Se l'operazione di impostazione della password riesce, l'utente viene informato che la password è stata modificata.

   Nota

   Se l'hash delle password dell'utente viene sincronizzato con Microsoft Entra ID usando la sincronizzazione dell'hash delle password, è possibile che i criteri password locali siano più deboli rispetto ai criteri password cloud. In questo caso vengono applicati i criteri locali. Questi criteri garantiscono che i criteri locali siano applicati nel cloud, indipendentemente dal fatto che si usi la sincronizzazione dell'hash delle password o la federazione per il Single Sign-On.

10. Se l'operazione di impostazione della password non riesce, viene restituito un messaggio di errore con la richiesta all'utente di riprovare. L'operazione potrebbe non riuscire per i motivi seguenti:

    • Il servizio era inattivo.
    • La password selezionata non rispetta i criteri dell'organizzazione.
    • Impossibile trovare l'utente nell'ambiente Active Directory Domain Services locale.

    I messaggi di errore forniscono indicazioni agli utenti in modo che possano tentare di risolvere il problema senza l'intervento dell'amministratore.

Sicurezza del writeback delle password

Il writeback delle password è un servizio altamente sicuro. Per garantire che le informazioni siano protette, viene abilitato un modello di sicurezza a quattro livelli come descritto di seguito:

• Inoltro del bus di servizio specifico del tenant
  • Quando si configura il servizio, viene configurato l'inoltro del bus di servizio specifico del tenant, protetto da una password complessa generata in modo casuale, a cui Microsoft non può mai accedere.
• Chiave di crittografia bloccata e crittograficamente complessa per le password
  • Dopo la creazione dell'inoltro del bus di servizio, viene creata una chiave asimmetrica complessa, usata per la crittografia della password durante la trasmissione. Questa chiave si trova solo nell'archivio segreto dell'azienda nel cloud, bloccato in modo sicuro e controllato, come qualsiasi altra password nella directory.
• Transport Layer Security (TLS) standard di settore
  1. Quando si verifica nel cloud un'operazione di reimpostazione o modifica della password, la password non crittografata viene crittografata con la chiave pubblica dell'utente.
  2. La chiave crittografata viene inclusa in un messaggio HTTPS inviato tramite un canale crittografato mediante certificati TLS/SSL Microsoft al proprio inoltro del bus di servizio.
  3. Quando il messaggio arriva nel bus di servizio, l'agente locale viene attivato e autenticato al bus di servizio tramite la password complessa generata in precedenza.
  4. L'agente locale preleva il messaggio crittografato e lo decrittografa con la chiave privata.
  5. L'agente locale tenta di impostare la password tramite l'API SetPassword di AD DS. Questo passaggio consente l'applicazione dei criteri password locali di Active Directory Domain Services (ad esempio la complessità, l'età, la cronologia e i filtri) nel cloud.
• Criteri di scadenza del messaggio
  • Se il messaggio si trova nel bus di servizio perché il servizio locale è inattivo, raggiungerà il timeout e verrà rimosso dopo alcuni minuti. Il timeout e la rimozione del messaggio migliorano ulteriormente la sicurezza.

Informazioni dettagliate sulla crittografia del writeback delle password

Dopo che un utente ha inviato una reimpostazione password, la richiesta di reimpostazione passa attraverso diverse operazioni di crittografia prima di arrivare nell'ambiente locale. Queste operazioni di crittografia garantiscono la massima affidabilità del servizio e sicurezza. Sono descritte come segue:

1. Crittografia delle password con chiave RSA a 2048 bit: dopo che un utente ha inviato una password da scrivere in locale, la password inviata viene crittografata con una chiave RSA a 2048 bit.
2. Crittografia a livello di pacchetto con AES-GCM a 256 bit: l'intero pacchetto, la password e i metadati necessari, viene crittografato usando AES-GCM (con dimensioni della chiave di 256 bit). Questa crittografia impedisce a chiunque abbia accesso diretto al canale bus di servizio sottostante di visualizzare o manomettere il contenuto.
3. Tutte le comunicazioni avvengono tramite TLS/SSL: tutte le comunicazioni con bus di servizio si verificano in un canale SSL/TLS. Questa crittografia protegge i contenuti da terze parti non autorizzate.
4. Rollover automatico delle chiavi ogni sei mesi: tutte le chiavi vengono eseguite ogni sei mesi o ogni volta che il writeback delle password viene disabilitato e quindi riabilitato in Microsoft Entra Connessione, per garantire la massima sicurezza e sicurezza del servizio.

Utilizzo della larghezza di banda per il writeback delle password

Il writeback delle password è un servizio a larghezza di banda ridotta, che invia le richieste all'agente locale solo nelle circostanze seguenti:

• Due messaggi vengono inviati quando la funzionalità è abilitata o disabilitata tramite Microsoft Entra Connessione.
• Viene inviato un messaggio viene ogni 5 minuti come heartbeat del servizio per la durata dell'esecuzione del servizio.
• Vengono inviati due messaggi ogni volta che viene inviata una nuova password:
  • Il primo messaggio è un richiesta di eseguire l'operazione.
  • Il secondo messaggio contiene il risultato dell'operazione e viene inviato nelle circostanze seguenti:
    • Ogni volta che viene inviata una nuova password durante la reimpostazione self-service della password utente.
    • Ogni volta che viene inviata una nuova password durante un'operazione di modifica della password utente.
    • Ogni volta che viene inviata una nuova password durante una reimpostazione della password utente avviata dall'amministratore, solo dal portale di amministrazione di Azure.

Considerazioni sulle dimensioni dei messaggi e sulla larghezza di banda

La dimensione di ogni messaggio illustrato in precedenza è in genere inferiore a 1 KB. Anche in caso di carichi estremi, il servizio di writeback delle password stesso usa qualche kilobit di larghezza di banda al secondo. Poiché ogni messaggio viene inviato in tempo reale, solo quando necessario per un'operazione di aggiornamento della password, e poiché le dimensioni dei messaggi sono così ridotte, l'utilizzo della larghezza di banda da parte della funzionalità di writeback è troppo basso per avere un impatto significativo.

Operazioni di writeback supportate

Il writeback delle password viene eseguito in tutte le situazioni seguenti:

• Attività degli utenti finali supportate

  • Qualsiasi operazione self-service volontaria di modifica della password dell'utente finale.
  • Qualsiasi operazione self-service forzata di modifica della password dell'utente finale, ad esempio in seguito a scadenza della password.
  • Qualsiasi reimpostazione password self-service dell'utente finale originata dal portale di reimpostazione password.

• Operazioni degli amministratori supportate

  • Qualsiasi operazione self-service volontaria di modifica della password dell'amministratore.
  • Qualsiasi operazione self-service forzata di modifica della password dell'amministratore, ad esempio in seguito a scadenza della password.
  • Qualsiasi reimpostazione password self-service dell'amministratore originata dal portale di reimpostazione password.
  • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'interfaccia di amministrazione di Microsoft Entra.
  • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'API Microsoft Graph.

Operazioni di writeback non supportate

Il writeback delle password non viene eseguito nelle situazioni seguenti:

• Attività degli utenti finali non supportate
  • Qualsiasi reimpostazione, da parte dell'utente finale, della propria password tramite PowerShell versione 1, versione 2 o l'API Graph di Microsoft.
• Operazioni degli amministratori non supportate
  • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dalla versione 1 o dalla versione 2 di PowerShell.
  • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'interfaccia di amministrazione di Microsoft 365.
  • Qualsiasi amministratore non può usare lo strumento di reimpostazione della password per reimpostare la propria password per il writeback delle password.

Avviso

L'uso della casella di controllo "L'utente deve modificare la password all'accesso successivo" in strumenti di amministrazione di Active Directory Domain Services locali, ad esempio Utenti e computer di Active Directory o Active Directory Amministrazione istrative Center è supportata come funzionalità di anteprima di Microsoft Entra Connessione. Per altre informazioni, vedere Implementare la sincronizzazione dell'hash delle password con Microsoft Entra Connessione Sync.

Nota

Se un utente ha l'opzione "Password never expires" impostata in Active Directory (AD), il flag di modifica della password force non verrà impostato in Active Directory (AD), quindi all'utente non verrà richiesto di modificare la password durante l'accesso successivo anche se l'opzione per forzare l'utente a modificare la password al successivo accesso viene selezionata durante una reimpostazione della password dell'utente finale avviata dall'amministratore.

Passaggi successivi

Per iniziare a usare il writeback della reimpostazione della password self-service, completare l'esercitazione seguente:

Esercitazione: Abilitare il writeback della reimpostazione della password self-service